简介
电子技术改变了现代汽车,它让设计人员能够利用传感器和控制器来实现越来越多的功能。然而,从安全的角度来看,电子技术日益重要的作用也带来了更多的挑战。在电子技术的应用使汽车更高效、更环保和更舒适的同时,一旦关键元件发生故障,安全风险也将更大;因为人类驾驶员控制车辆做出响应的动作和决策能力降低了。
汽车行业也认识到了安全的重要性,并制定了针对汽车电子相关部件的具体标准,即 ISO 26262。ISO 26262 最初发布于 2011 年,并于 2018 年更新,提供了安全相关系统的功能安全标准。安全相关系统可能包括一个或多个电气和/或电子系统,并安装在批量生产的道路车辆(不包括轻便摩托车)中。
ISO 26262 中包含了一套对可能风险进行分类的体系,称为汽车安全完整性等级 (ASIL)。这套评级体系针对各种汽车功能进行识别和量化,并定义了一系列的安全风险。通过 ASIL 评级,制造商可以证明其汽车内的特定系统或组件包含内置的安全冗余功能,能够保护乘客和车辆。在产品出现故障,例如传感器无法感知到隔壁车道的车辆,或者汽车前灯在夜间熄灭时,这些安全功能将至关重要(见图 1)。安全冗余功能用于应对单点故障(即单个部件的故障),它还包括额外的备份功能,以防检测单点故障的机制出现问题(即潜在故障);这是真正强大的功能安全方法所需的多层冗余。
图 1:功能安全产品可以备份汽车照明系统
ASIL 评级反映了额外的安全备份功能,它与汽车行业为确保质量管理 (QM) 而开发的质量评级系统(ISO 9001 和 IATF 16949 的一部分)有着不同的目标。当然,QM 标准仍然具有相关性 ; 汽车中使用的许多产品即使出现故障也不会影响安全,例如汽车电台的电源,这些产品就不适于ASIL 评级。但对于那些对车辆基本功能至关重要的产品,汽车制造商正积极寻求ASIL 评级产品所提供的额外安全保障。
对每个独立组件的风险级别进行细分和排序,可以为设计人员提供缓解风险所需的备份类型具体信息。例如,器件可能输出过压,产生高频故障,但由于某种原因却未被检测到;此时添加备用检测设备来识别故障就是一项适当的功能安全补充。
使用 ASIL 评级来描述这些功能安全保护的稳健程度,将为客户提供有关产品安全性的重要信息。这同时清楚地表明,在汽车研发的任何创新(例如增强的自动驾驶功能)中,安全性都是重中之重。 它是一种保障措施,有助于在事故发生之前了解潜在的危险并采取适当的干预措施。
ASIL评级是如何定义的
ASIL 评级是通过进行危害分析和风险评估来确定的。功能安全工程师以这些已识别的风险为基础来测量汽车中的每个电子元件,并评估其故障对整个车辆的影响。
ASIL 分为四大类:ASIL-A、ASIL-B、ASIL-C 和 ASIL-D。ASIL-A 的相关风险总体级别最低,ASIL-D 的总体风险级别最高。
评估使用了三个特定变量:故障的潜在严重性、暴露于故障场景的频率以及可控性。
为使风险的量化具备更多特异性,这些变量还被进一步细分为子类。三个变量描述如下:
- 严重性(S): 严重性描述了驾驶员和乘客可能遭受的伤害类型。严重性分为四级,从无伤害 (S0) 到危及生命/致命伤害 (S3)。
- 暴露率(E): 暴露率描述了车辆暴露于危险的频率。暴露率分为五级,从极不可能 (E0) 到极有可能 (E4)。
- 可控性(C): 可控性描述了驾驶员有多大的作用来防止受伤。可控性分为四个等级,从一般可控(C0)到不可控(C3)。
将所有这些变量组合起来创建一套分数体系来确定所需的 ASIL 级别(见图 2)。最高分数反映最高的潜在危险,获得 ASIL-D 级别,而较低分数则赋予ASIL-A 或 ASIL-B 级别。
图2: ASIL评级
需要注意的是,ASIL 评级并不是静态不变的。IC 是没有默认ASIL 评级的,因为其风险级别与其在给定系统中的角色和使用相关。例如,巡航控制系统中包括了软件组件和致动器控制器。如果所定义的风险是加速度超过特定阈值,那么来自软件元素的信号及其隐含的风险将可能导致致动器控制器也被归类为更高的 ASIL 级别。
由于QM 部件的设计中已经涵盖了安全性,因此添加额外的安全功能通常意味着在第一级备份系统发生故障时提供额外的备份解决方案。对于某些部件,安全的测量可能是提供参考电压(VREF)以调节输出。ASIL 级产品的附加功能则可能是提供第二电压,以确保第一电压在安全范围内。
